Post Read controls

1 1.1. Központi címtár 1.1.1. Szolgáltatás szabványok Az ajánlott címtár technológia a következı protokollajánlásokat implementálja: RFC2251 Lightweight Directory Access Protocol (v3) RFC2252 Lightweight Directory Access Protocol (v3): Attribute Syntax Definitions RFC2253 Lightweight Directory Access Protocol (v3): UTF-8 String Representation of Distinguished Names RFC2254 The String Representation of LDAP Search Filters RFC2255 The LDAP URL Format RFC 2256 A Summary of the X.500(96) User Schema for use with LDAPv3 RFC 2829 Authentication Methods for LDAP RFC 2830 Lightweight Directory Access Protocol (v3): Extension for Transport Layer Security RFC 2849 The LDAP Data Interchange Format (LDIF) - Technical Specification RFC 2247 Using Domains in LDAP/X.500 Distinguished Names RFC 3088 DNS-based service location RFC 2696 Simple Paged Result Control RFC 2849 LDIFv1 RFC 3062 Password Modify operation RFC 3296 Named Referrals / ManageDSAit control RFC 3673 All Operational Attributes + attribute list feature RFC 3687 Component Matching Rules RFC 3866 Language Tag and Range options RFC 3876 Matched Values control RFC 4370 Proxy Authorization control RFC 4522 The Binary Encoding Option RFC 4523 X.509 Certificate Schema RFC 4524 COSINE Schema RFC 4525 Modify/Increment extension RFC 4526 Absolute True (&) and False (|) Filter extension RFC 4527 Pre/Post Read controls RFC 4528 Assertion control RFC 4529 Requesting Attributes by Object Class feature RFC 4530 entryUUID operational attribute RFC 4532 WhoAmI operation RFC 4533 Content Synchronization operation 1.1.2.

Megajánlott kapcsolat

Címtárszolgáltatással kapcsolatos általános elvárások összefoglalása Abban az esetben, ha címtárszolgáltatásokról esik szó, alapvetıen két típusú címtárszolgáltatásról beszélhetünk. Az egyik csoportba tartoznak az egy adott

2 technológiához, alkalmazáshoz köthetı, leginkább azt kiszolgálni képes, azzal szorosan integrált címtármegoldások (pl. MS Active Directory, Novell NDS, stb.), a másik csoportba tartoznak az ún. általános célú címtármegoldások (pl. Sun Java System Directory Server, OpenLDAP, stb.). A címtármegoldásokkal kapcsolatos elvárások alapvetıen különbözhetnek a két címtár-kategória esetében. Az elsı csoportba tartozó címtáraknál az elsıdleges szempont az adott speciális (pl. operációs rendszer, alkalmazás) igények maximális támogatása. Ez az elvárás sok esetben háttérbe szorítja a szabványosságra, integrálhatóságra és skálázhatóságra vonatkozó képességeket. Az általános célú címtárakkal szemben támasztott elvárás leginkább a szabványosság és az integrálhatóság. Az ilyen megoldásokat igen sokszor olyan nagyvállalati körben alkalmazzák, ahol globális vállalati címtárként több adatforrás (címtár, adatbázis, alkalmazások) címtári adatait aggregálják egy központi “univerzális” adattárba. Az ilyen központi címtárakat igen sokszor metacímtárként szokták említeni, jellemezni. Általános elvárás az univerzális célú központi címtárakkal szemben a szabványosságon túlmenıen a robosztus mőködés, a rugalmas skálázhatóság, a kiforrott és kifinomult adminisztrációs lehetıség illetve a garantált (folyamatos rendelkezésre állás). Az általános célú címtárak a vállalatok IT rendszereinek középpontjában helyezkednek el sok esetben nyitva külsı alkalmazások, felhasználók irányába is, ezért igen kritikus szempont a biztonság, a hozzáférés kezelés kérdése. A kiírásban megfogalmazott mőszaki elvárásokat teljes körően figyelembe véve az OpenLDAP projekt csoport által fejlesztett, nyílt forráskódú publikus licenccel használható OpenLDAP szoftvert ajánljuk a mintakonfigurációban, annak széles körben, akár entreprise mérető környezetben elterjedt használata, alkalmazások széles skálájával való integrálhatósága miatt. A kiírásban a központi címtárszolgáltatással szemben követelményeknek az OpenLDAP teljes körően megfelel: •

megfogalmazott

LDAP szabványokat (RFC-ket) teljes mértékben megvalósítja Az OpenLDAP a fentebb említett szabványoknak teljes mértékben megfelel • Titkosított kapcsolatok kezelése (LDAP-S), címtáradatok titkosított tárolása,, Az OpenLDAP támogatja mind az LDAPS illetve StartTLS szabványokat • Egyedi hozzáférés szabályozhatósága Az OpenLDAP számos hozzáférési ellenırzési módot támogat (Pl. wildcard, csoporttagság alapú, kapcsolódó kliens DNS név/IP címe alapján illetve ezek kombinációja). Ezen kívül az OpenLDAP lehetıvé teszi az authentikációs metódus alapján történı hozzáférés szabályozást is (pl csak Kerberos athentikáción keresztüli hozzáférés engedélyezése)
Karbantartás, konfigurálás lehetısége mind GUI, CLI menedzsment interfészeken keresztül A hagyományos CLI elérés mellett számos grafikus felületet biztosító applikáció áll rendelkezésre (pl LDAPExplorerTool, phpLDAPadmin, YALA, web2ldap, JXplorer)

3 Szolgáltatásnyújtás feltételei: • Havi esemény statisztikák elkészítése, elküldése Általános statisztikák generálása az LDAP logfile-ok kiértékelésével: o TOTAL_CONNECTIONS o BYTES_SENT o COMPLETED_OPERATIONS o REFERRALS_SENT o ENTRIES_SENT o BIND_OPERATIONS o UNBIND_OPERATIONS o ADD_OPERATIONS o DELETE_OPERATIONS o MODIFY_OPERATIONS o COMPARE_OPERATIONS o SEARCH_OPERATIONS











Legyen képes központi logolásra Az ajánlott OpenLDAP szoftver naplóadatainak kezelésére a SyslogNG szoftver használható, amely tökéletesen alkalmas a syslog adatok TCP kapcsolaton keresztül történı továbbítására megfelelıen konfigurált központi logkezelı szerver felé. Biztonságos operációs rendszer futtatási környezet Az openLDAP minden UNIX, Linux illetve Windows platformon támogatott, illetve futtatható. Parancssori menedzsment támogatása Mind a UNIX, Linux OS-ek karakteres termináljain illetve a Windows parancssori elérésén keresztül menedzselhetı. LDAPv3 támogatás Az OpenLDAP 2.4-es verziói támogatják az RFC 2251-ben specifikált LDAPv3-t. LDIFv1 támogatás Az OpenLDAP támogatja az RFC 2849-ben specifikált LDIFv1-t. X.509 Certificate Schema támogatás Az OpenLDAP támogatja az RFC 2823-ban specifikált X.509 Certificate Schema-t. Berkeley DB használata Az OpenLDAP 2.3 és 2.4 verziók támogatják a Berkeley DB 4.4 4.5-ös verziókat. Overlay technológia használata OpenLDAP-ban támogatott

1.1.2.1.Mintakonfigurációk A mintakonfigurációk a szolgáltatás csomagoknak a kiírásnak mindenben megfelelı változatai. Összeállításuk során a következı feltételek teljesülésével számoltunk:

4 • • • • • • •

• •

Az intézményi hálózatban pontosan dokumentált, hogy milyen szerverek, illetve milyen kliensek fogják használni az LDAP szolgáltatást. A kívánt LDAP séma pontosan definiált (milyen objektumok lesznek, azoknak milyen attribútumai vannak, milyen kapcsolatok lesznek ezek között, milyen jogosultsági szintek, csoportok lesznek) Új rendszert építünk, nincs szükség migrációra. Nem számolunk más rendszerekkel való összekapcsolással. Az adatfeltöltést és üzemeltetést a megrendelı végzi, az ajánlott szoftverekbe szoftverekbe gyárilag beépített felületek felhasználásával. Szolgáltatói oldali szoftver fejlesztésre nincs szükség Megrendelı helyszíni telepítést megelızıen a hálózati architektúrának az LDAP szerverek beillesztéséhez, eléréséhez szükséges módosítását elvégzi, a fizikai telepítési feltételeket és a szükséges DNS nevek regisztrációját biztosítja. Az LDAP szolgáltatás elindítása munkaidıben történik. Felhasználónként maximum 100 kbyte adatot tárolódik.

A mintakonfigurációkban a következı szolgáltatások foglaltatnak benne (a fenti feltételekkel): LDAP séma mőszaki tervezése, megvalósítása Hardver összeszerelés, azok firmware-jeinek frissítése Operációs Rendszer installáció, legfrissebb security patch-ek installációja OpenLDAP szerver installációja, konfigurációja, processz szintő monitorozás beállítása (pl.: monit tool) Helyszíni telepítés Alap funkcionális és redundancia tesztek A telepített rendszer rendszer szintő alapdokumentációjának elkészítése 2, címtár üzemeltetésben jártas személy egyidejő oktatása az élı rendszeren, 2 óra terjedelemben. Amennyiben a tesztelés során, vagy annak lezárása után a tervezett LDAP architektúrához képest módosítani kell, vagy a telepítés megnyúlik vagy meghiúsul a megrendelı által biztosítandó feltételek rendelkezésre nem állása miatt, az plusz ráfordításnak számít, amit Szolgáltató a megfelelı mérnökóra díjban számláz a vállalási összegen felül. Az elvárt nagy rendelkezésre állás csak a jelen két szerveres, tartalékolt megoldással biztosítható, így minden mintakonfigurációban ezt szerepeltetjük. A kiírásban teljesítmény elvárás nem szerepelt, így a mintakonfigurációban minimális szerverekkel számoltunk. Hibajavítás megkezdése: budapesten 4, Vidéken 8 órán belül Hibajavítás befejezése: hardver hiba esetén Bp-en 12, Vidéken 24 órán belül az esetek 90%-ban, funkcionális csere eszközzel.

5 1.1.2.1.1. Címtár Konfig1 mintakonfiguráció A kiírás szerinti 500 felhasználós címtár megoldás hardver komponensei: • 2 darab DELL™ PowerEdge™ R200 (Quad Core Intel® Xeon® X3220, 2.40GHz CPU, 2GB RAM, 300GB SAS diszk • A konfiguráció OS/szoftver komponensei: • Ubuntu linux 9.04 (ingyenes változat) • OpenLDAP 2.4.16 slapd - Stand-alone LDAP Daemon • BerkeleyDB 4.4 • Syslog-ng 3.0.2 Az ajánlati ár tartalmazza a mintakonfiguráció általános leírásban foglalt szolgáltatásokat is. 1.1.2.1.2. Címtár Konfig2 mintakonfiguráció A kiírás szerinti 1000 felhasználós címtár megoldás hardver komponensei: • 2 darab DELL™ PowerEdge™ R200 (Quad Core Intel® Xeon® X3220, 2.40GHz CPU, 2GB RAM, 300GB SAS diszk • A konfiguráció OS/szoftver komponensei: • Ubuntu linux 9.04 (ingyenes változat) • OpenLDAP 2.4.16 slapd - Stand-alone LDAP Daemon • BerkeleyDB 4.4 • Syslog-ng 3.0.2 Az ajánlati ár tartalmazza a mintakonfiguráció általános leírásban foglalt szolgáltatásokat is. 1.1.2.1.3. Címtár Konfig3 mintakonfiguráció A kiírás szerinti 2500 felhasználós címtár megoldás hardver komponensei: • 2 darab DELL™ PowerEdge™ R200 (Quad Core Intel® Xeon® X3220, 2.40GHz CPU, 2GB RAM, 300GB SAS diszk • A konfiguráció OS/szoftver komponensei: • Ubuntu linux 9.04 (ingyenes változat) • OpenLDAP 2.4.16 slapd - Stand-alone LDAP Daemon • BerkeleyDB 4.4 • Syslog-ng 3.0.2 Az ajánlati ár tartalmazza a mintakonfiguráció általános leírásban foglalt szolgáltatásokat is.

6 1.1.2.2.Szolgáltatáscsomagok Az ajánlott szolgáltatás csomagok mindegyike tartalmazza a következıket: • LDAP séma tervezése felhasználói interjúk, meglévı dokumentációk alapján • LDAP szerverek rendszerbeli helyének megtervezése • Már meglévı címtár adatok migrálása az újonnan kialakított LDAP környezetre: • Jelenlegi címtár rendszer, struktúra felmérése • Migrálás tervezése, tesztelése • Címtár migráció • Migráció ellenırzése • Adat feltöltés támogatása • Átfogó LDAP szerviz monitorozás a Megrendelı által specifikált paraméterek (teljesítmény, erıforrás allokáció, stb alapuló) alapján az LDAP szerviz monitor kiegészítése a monit opensource tool használatával: • monitorozási paraméterek meghatározása • kívánt mechanizmusok illetve azok kondícióinak specifikálása (riasztás küldés, szerviz restart stb.) • a letisztázott monitoring realizációja, tesztelése • Más rendszerekkel való kapcsolat tervezése, kivitelezése (ezek pontos költsége felmérés után határozható meg, jelen árban egy, LDAP protokollal elérhetı, hasonló szerkezető adattárral való kapcsolattal számolunk). • Biztonsági másolat készítése:Az LDAP szerviz konfigurációjáról illetve az LDAP adatbázisáról biztonsági másolat készítéséhez szükséges szkriptek megírása illetve szükség szerint egy (már meglévı) központi file szerverre való felmásolása. • A felhasználó és tranzakció számtól függıen méretezett nagy megbízhatóságú, nagy teljesítményő szerver pár. • Felhasználónkénti adat mennyiség 10 Mbyte. • Teljes rendszer bevezetés, felhasználói szintő dokumentációkkal, e-learning anyagokkal (az ezek használatához szükséges infrastruktúrát az E-learning szolgáltatáscsomagban lehet megvásárolni). • 5% kulcs felhasználó egy napos tantermi oktatása, legalább 12 fıs csoportokban (feltételeket Megrendelı biztosítja). • Támogatás a bevezetési idıszakban (2 mérnökhét), mely tartalmazza az esetleges utólagos séma változtatásokat is. • Távmonitorozási szolgáltatás, és hibaelhárítás. Hibajavítás megkezdése budapesten 4, Vidéken 8 órán belül, hibajavítás befejezése hardver hiba esetén Bp-en 12, Vidéken 24 órán belül az esetek 90%-ban, funkcionális csere eszközzel. A csomag tartalmaz továbbá egy merevlemez alapú mentı megoldást . Az 500 felhasználós környezetbe diszk alapú mentést terveztünk, ami megfelel akár 30 nap mentésének tárolására. Az ajánlott mentıszoftver a megoldással integrált, a visszaállítás segítségével gyorsan, kevés emberi beavatkozással végrehajtható. A tervezett megoldás tárigényénél csak az ajánlatban szereplı

7 elemek mentésével számoltunk, de természetesen a mentési rendszer a licencek bıvítésével alkalmas más elemek mentésére is. Az 1000 és 2500 fıs konfiguráció esetén a központi tárolón kialakított tárhely ugyancsak 30 nap mentését képes tárolni megfelelı mentési rend esetén, a mentés külön hardveren való tárolás igénye esetére ezt kiegészítettük egy szalagos mentési egységgel is, lehetıvé téve mentés külön tárolását és akár az archiválást is. A három címtár esetén való azonos adat mentési költség abból adódik, hogy a nagyobb konfigurációk esetén a mentı szerver diszk helye a címtár storage-ban van. Menteni az operációs rendszert és a címtár adatbázist kell. Napi mentés elegendı mivel a címtár magas rendelkezésre állást biztosít. A mentendı adatmennyiség viszonylag kicsi, a visszaállítást a legegyszerőbb teljes mentésbıl elvégezni. A címtár biztosít mechanizmusokat a véletlen törlések kivédése ellen is. 1.1.2.2.1. EKG Címtár 500 szolgáltatás csomag A szolgáltatás csomag tartalmazza egy 500 felhasználós, a szolgáltatáscsomagban leírt címtár rendszer komplett leszállítását, bevezetését. 1.1.2.2.2. EKG Címtár 1000 szolgáltatás csomag A szolgáltatás csomag tartalmazza egy 1000 felhasználós, a szolgáltatáscsomagban leírt címtár rendszer komplett leszállítását, bevezetését. 1.1.2.2.3. EKG Címtár 2500 szolgáltatás csomag A szolgáltatás csomag tartalmazza egy 2500 felhasználós, a szolgáltatáscsomagban leírt címtár rendszer komplett leszállítását, bevezetését. 1.1.3. Installáció, rendszerbeillesztés A rendszer installációját Szolgáltató végzi, a szolgáltatás csomagban ill. a mintakonfigurációban leírt feltételeknek megfelelıen.

1.1.4. Átvételi teszt A telepített rendszerhez átadásakor egy átadás-átvételi jegyzıkönyvet is mellékelünk, amely tartalmazza az installáció teljességét ellenırzı teszteket (funkcionális, rendszerintegrációs tesztek) illetve azok eredményét.

8 1.1.5. Hálózat felügyelet, hibabejelentés és hibajavítás A szerverek installálása során üzembe helyezett alapvetı daemon processzus szintő monitorozás is beállításra kerül, amelynek jelzései (akár syslog vagy email riasztás) a meglévı felügyeleti rendszerbe kapcsolhatók. Ezen felül komplexebb szerviz monitorozás (pl. hosszú válaszidejő teszt LDAP query , LDAP daemon magas CPU load stb), is ez a szolgáltatás csomagoknak része, a mintakonfigurációknak nem. A felügyeleti rendszer jelzései alapján a Megrendelı üzemeltetésért felelıs munkatársai az Ajánlati dokumentáció általános hiba bejelentési eljárása szerint jelentik be az eseteket, a Vállalkozó az ajánlati dokumentáció általános hibajavítási leírása szerint kezeli az eseteket. 1.1.6. Tervezett karbantartás A megajánlott konfigurációkhoz nem kapcsolódik elıre tervezett karbantartási munka. A HW/OS/SW gyártói által kiadott biztonsági frissítések megjelenése esetén azokat a telepített rendszeren installáljuk. 1.1.7. Teljesítmény és rendelkezésre állás A szolgáltatás rendelkezésre állása éves szinten: 99,5% A kívánt rendelkezésre állás az ajánlott konfigurációkban az master LDAP szerverrel automatikusan szinkronizáló slave LDAP szerver biztosít, amely teljes értékő szolgáltatást biztosít a master szerver leállása esetén. 1.1.8. Szolgáltatási jelentések Általános statisztikákat az operációs rendszer szintjén mért teljesítmény mutatók kiértékelése mellett az LDAP logfile-ok elemzésével (Pl: ldap-gather.pl, ldapstats.pl ) lehet kinyerni a kívánt idıintervallumra prezentálni, melyekbıl a kívánt riportok grafikonok készíthetıek. Ezek kezelése megrendelı feladata. További jelentéseket az ajánlati dokumentáció általános „Szolgáltatási jelentések” címő leírása nevezi meg. 1.1.9. Szolgáltatási színvonal A Vállalkozó által nyújtott szolgáltatás minıségi bemutatását az ajánlati dokumentáció általános „Szolgáltatási színvonal” címő leírása tárgyalja

9 1.1.10. Dokumentálási eljárások A rendszerhez leszállított dokumentáció az alábbi tartalommal bír: Rendszerleírás: A telepített szolgáltatás mőszaki realizációjának (HW/OS/SW) konfigurációjának olyan szintő leírása, melynek alapján a rendszert üzemeltetni/karbantartani lehet. Installációs manuál: A rendszer teljes telepítési procedúrájának (HW/OS/SW installáció, konfiguráció) leírása melynek segítségével a rendszert újra lehet telepíteni Tesztelési napló: A 1.1.4 Átvételi teszt fejezetben leírt átadás-átvételi jegyzıkönyv. 1.1.11. Rendszermentési, feldolgozási és log mentési eljárások Mivel a pályázat nem tartalmaz címtárral kapcsolatos mentési követelményeket, ezért a mintakonfigurációk mentési szolgáltatást nem tartalmaznak. Szükség esetén a mentés a mentés kiegészítı szolgáltatás csomag megvásárlásával biztosítható.